La psicología del hacker de contraseñas
Por Josué Ariza, Gerente de ventas para BeyondTrust.
El hackeo de contraseñas es un vector de ataque que consiste, como su nombre indica, en obtener acceso a ella sin permiso de su propietario. Para ello, los atacantes utilizan diversas técnicas programáticas y herramientas de automatización especializadas.
Hace tiempo que se reconoce que las contraseñas son el talón de Aquiles del control de identidad. Durante décadas se nos ha prometido la muerte de las mismas y la inminencia de un futuro sin contraseñas. Sin embargo, los seres humanos y las máquinas nunca las han utilizado tanto como hoy en día. Algunos enfoques de la sustitución de contraseñas han tenido éxito, pero siguen siendo un nicho de mercado y a menudo acaban compartiendo las mismas características de esta herramienta de seguridad.
¿Cuál es la psicología de un hacker de contraseñas?
Con el uso de nombre de usuario + contraseña, un usuario normal puede autenticarse en diversas plataformas. Basta con que los hackers conozcan el nombre de usuario para querer descifrarla y hackear la cuenta, y esto puede llegar a ser muy fácil, ya que en Colombia, según el DANE, solo el 61 % de las personas que utilizan internet crean contraseñas seguras.
Por lo general, un actor malicioso tiene como primer objetivo a un administrador de sistemas, ya que sus credenciales, junto con los privilegios, le dan acceso directo a datos sensibles y sistemas estratégicos. Este acceso a información clave puede tener consecuencias desastrosas para una empresa.
¿Por qué los atacantes tienen ventaja?
Los autores de estos ciberataques tienen al menos dos grandes ventajas sobre sus objetivos:
- El tiempo, ya que apuntan a muchos objetivos a la vez.
- Herramientas de hackeo de contraseñas que automatizan los ataques.
Las herramientas de hackeo pueden probar las contraseñas a un ritmo muy lento para evitar activar un bloqueo en cuentas individuales. Por tanto, los atacantes informáticos querrán probar cada contraseña para todas las cuentas que conozcan, ya que pocos sistemas controlan el número de intentos en varias cuentas. Las defensas posibles son limitadas, incluso con soluciones SIEM (Security Information and Event Monitoring) o UEBA (User and Entity Behavioral Analysis). Imposible bloquear todas las cuentas. Además, el bloqueo de la dirección IP de origen sólo conseguirá que el ataque continúe con una nueva IP, si es que aún no se ha extendido a cientos o miles de direcciones IP.
La mejor defensa contra este tipo de ataque es cambiar con frecuencia las contraseñas y que sean complejas. Tan solo en Colombia, según BeyondTrust, las claves más usadas son 12345 y 123456789, lo que las vuelve totalmente vulnerables ante un posible ciberataque.
Todos los hackers conocen nuestras debilidades y malos hábitos. También saben descifrar letras sustituidas por números y símbolos, 3 por E, 4 por A, @ por a. Las herramientas de ataque de contraseñas están entrenadas para descifrar estas variaciones. Los hackers averiguan el nivel de complejidad de las claves, la longitud mínima y máxima, las mayúsculas y minúsculas, los números, los símbolos, las combinaciones, etcétera. También averiguan las restricciones impuestas:
- Primera letra mayúscula
- No empezar por un número
- Número mínimo de caracteres de un tipo determinado
Al limitar la repetición de caracteres, estos sistemas de producción de contraseñas reducen el número de combinaciones que el ciberdelincuente tiene que examinar, debilitando así la eficacia de la clave. Las herramientas de hackeo pueden configurarse para tener en cuenta las restricciones impuestas, acelerando así el procedimiento. En el contexto empresarial, estas herramientas son usadas para adivinar las contraseñas automáticamente, pero también para filtrar datos en busca de temas, expresiones e información comunes.
